【发布时间】:2015-08-17 22:17:38
【问题描述】:
我正在使用 GET url 从页面中提取 Facebook 专辑列表,如下所示:
https://graph.facebook.com/<page-id>/albums?access_token=<app-id>|<app-secret>
即使页面是公开的,显然您必须提供 access_token 才能提取内容。所以,我的问题是,通过在浏览器中公开显示应用 ID 和密钥,这是一个巨大的安全漏洞吗?我正在使用 JavaScript,所以我担心有人可以获取应用 ID 和密钥,然后使用它向帐户发布垃圾邮件。那可能吗?还是我忘记了使用 API 实际编写时必须采取的另一个安全步骤?
【问题讨论】:
-
您不应该在客户端代码中公开令牌(不是用户自己的访问令牌)。每个人都可以从那里阅读并滥用它们。应用访问令牌允许更改许多应用设置,并以应用的名义执行其他操作。您需要查看用户登录到您的应用程序,以便您可以使用他们的个人访问令牌;或者您需要将此代码移动到服务器端。
-
酷,这就是我害怕的。谢谢!如果您愿意,请随时回答问题:)
标签: javascript facebook security facebook-graph-api